Teknoloji devi Google, milyarlarca kullanıcısı olan popüler e-posta hizmeti Gmail için önemli bir güvenlik uyarısında bulundu.
Şirket, son derece karmaşık ve inandırıcı bir kimlik avı (phishing) dolandırıcılığına karşı kullanıcılarını dikkatli olmaya çağırdı.
Bu uyarı, yazılım geliştirici Nick Johnson'ın sosyal medyada bu dolandırıcılığa neredeyse kurban gitmek üzere olduğunu paylaşmasının ardından geldi.
Johnson, aldığı sahte e-postanın Google'dan gelen resmi bir iletişim gibi göründüğünü, hatta Google'ın DKIM (Alan Anahtarlarıyla Tanımlanmış Posta) güvenlik kontrolünden bile geçtiğini belirtti.
Bu durum, e-postanın Gmail gelen kutusunda normal bir mesaj gibi görünmesine neden olarak aldatıcılığını artırdı.
GOOGLE ALTYAPISINDAKİ AÇIKLIKTAN YARARLANDILAR
Johnson'a göre, bu kimlik avı saldırısı Google'ın kendi altyapısındaki bir güvenlik açığından faydalandı.
Meşru bir Google adresinden geliyormuş gibi görünen dolandırıcılık e-postasında, Johnson'ın Google hesabının mahkemeye verildiği ve yasal bir süreç başlatıldığı iddia ediliyordu.
E-postanın bir kimlik avı girişimi olduğuna dair tek belirgin ipucu, e-postadaki bağlantının yönlendirdiği alan adıydı.
Bağlantı, beklenen accounts.google.com yerine sites.google.com alan adında barındırılıyordu.
Bu bağlantıya tıklandığında ise kullanıcılar, gerçek Google giriş sayfalarını taklit eden ve kimlik bilgilerini (kullanıcı adı, şifre vb.) çalmak üzere tasarlanmış sahte bir 'destek portalı'na yönlendiriliyordu.
GOOGLE AÇIĞI KAPATTI VE KULLANICILARI UYARDI
Google sözcüsü, bu tür hedefli saldırıların farkında olduklarını ve daha fazla kötüye kullanımı önlemek için gerekli adımları attıklarını belirtti; bu da söz konusu güvenlik açığının kapatıldığı anlamına geliyor.
Şirket ayrıca, kullanıcıların benzer e-posta tuzaklarına düşmemesi için yeni yönergeler yayınladı.
Sözcü, 'Google sizden şifreniz, tek kullanımlık şifreleriniz, anlık bildirimleri onaylamanız gibi hiçbir hesap bilginizi e-posta veya telefon yoluyla istemez ve sizi bu amaçla aramaz.' diyerek önemli bir uyarıda bulundu.
